10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming
EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet + Nettsky Hva kan vi hjelpe deg med? 2 SECURITY CONSULTANCY 2016
Hvorfor informasjonssikkerhet
EVRY Økt tilgjengelighet økt produktivitet og økt risiko Hva skal til for å håndtere dette? 4
EVRY Sikkerhet - Den menneskelig faktor 88 prosent av datainnbruddene er utløst av slendrian, særlig uvøren omgang med bærbare pc-er og mobile lagringsenheter. Innleide konsulenter og partnere er innblandet i 44 prosent av innbruddene. 5
EVRY Paralleller til sikkerhet i industrien? 6 Kilde : Sikkerhetskurs for Herøya
Phising test to company xxxxxxx 7
EVRY Noen eksempler 8
EVRY Hva er informasjonssikkerhet? Tiltak iverksatt for å sikre at informasjon ikke er tilgjengelig uten autorisasjon (konfidensialitet), at informasjon ikke uautorisert endres eller ødelegges (integritet), og at informasjon er tilstede og anvendelig for medarbeidere slik at pålagte oppgaver kan utføres (tilgjengelighet).«datatilsynets definisjon Informasjonssikkerhet må ses i tre dimensjoner: Proaktiv Nå Reaktiv 9
Vår tilnærming
EVRY Strategi & Sikkerhet Hvorfor sikkerhet? Hva skal sikres? Hvem skal det sikres mot? Hva skal til? Strategi og arkitektur Kjerne aktivitet Sikkerhetsledelse 12
EVRY Noen kontrollspørsmål Output examples: Har dere: Step 1 Definition of Security Policy Policy Document Sikkerhetshåndbok (i relasjon til informasjonssikkerhet og ikke farlig avfall)? Policies og prosesser med underliggende prosedyrer, rutiner, guidelines etc.? Implementert risikostyring (Hva holder deg våken om natten)? Utført en Business Impact Analysis (BIA)? Etablert et ISMS (Information Security Management System) eller annet type kvalitetssikringssystem? Step 2 Step 3 Step 4 Step 5 Step 6 Input examples: Threats, Impacts, Vulnerabilities Risk Management Strategy Additional Controls ISMS Framework Definition of ISMS Scope Risk Assessment Risk Management Selection of Controls Statement of Applicability Scope of the ISMS List of assessed risks Identified Weaknesses for Assets Strength of Controls and Implementation Statement of Applicability Document 17
EVRY The soft part is the hard part Systemer og verktøy er: Nødvendige for å støtte implementeringen Måle effekten av tiltak og korrigere Men skaper i seg selv ingen endring Varig forbedring skapes gjennom: Endrede holdninger Endret adferd Endrede vaner Endret kultur 13
Våre tjenester
Informasjonssikkerhet - Innsatsområder Security Audit & Audit support Ensure sufficient autonomy & ownership Support & show correct behaviour Mobility Security Compliance Management & Support Vulnerability testing & analysis Create sense and purpose in change Penetration Testing Security Culture ToolBox Deliveries in IT & information Security Business & IT Strategy & architecture ISMS Information Security Management System Security Management Business Continuity Management CMS Corporate Management System Risk Management ITSCM IT Service Continuity Management Policy, Prosesser, Prosedyrer & rutines Mobility Strategy BIA Business Impact Analysis 15
EVRY Informasjonssikkerhet Vår tjenesteportefølje Leveranser Business & IT strategi og arkitektur Informasjonsarkitektur System design og implementering IT Strategi Strategi for Sikkerhet og Informasjonssikkerhet Prosjekt- og Endringsledelse Business Continuity Proaktiv Nå Reaktiv Mobilitets kontroll.... Arkitekturvaluering og oppdatering System evaluering og oppdatering Sikkerhetsledelse og system Styring, policy og system Prosedyrer og rutiner Revisjon av systemer, prosedyrer og praksis Disaster Recovery Avviksbeskrivelser med korrigerende tiltak Verktøykasse Sårbarhetsanalyse Business Impact Analysis Risikoanalyse Sikkerhetsrevisjon Risikoanalyse Ansvarsmatrise (RACI) Service Failure Analysis Sikkerhetskultur Sikre aksept og eierskap Endring av holdninger og adferd Kompetanseutvikling Vurdering av behov for endringsstøtte Måling av endringsberedskap Måling av implementeringsgrad og gevinstrealisering Korrigerende tiltak 16
EVRY Prosess Security Delivery Model Phase 0 DG0 DG1 DG2 DG3 DG4 Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 Business idea /Opportunity Service Strategy Analysis & Design Development Establish Delivery Chain Service in Production Anbefaling for implementering GAP analyse Risiko-/sårbarhets analyse Arkitektur/design Strategi og styring Innledende utfordringer og scope 17
EVRY Våre tjenester inkluderer Templates for implementering Inkluderer alle elementer som er relevant for de fleste kunder (store som små) Tilrettelagt for tilpasning til kundens behov og forretningsstrategi Prosesser, prosedyrer og rutiner Fast pris for: Oppstart og scoping Modulbasert implementering 18
Fokus i dag: Informasjonssikkerhet + Nettsky Du er her! Informasjonssikkerhet Informasjonsteknologi Regelverk 19
Nasjonale lover og forskrifter (informasjonssikkerhet) 20 KILDE: ISF 2008
Internasjonalt regelverk I (informasjonssikkerhet) 21
23 Eksempler på sektor-/bransjeføringer
24 Eksempler på retningslinjer i konsern/virksomhet
Tilnærming i praksis Våre erfaringer fra Cloud Planning Steg 1: Skaff deg oversikt over alle krav Svært få har full oversikt og alt på stell Steg 2: Lag deg et system / struktur Mye av dette driver du med allerede, men det er ikke satt i system (ref. ITIL) K.I.S.S. - Gjenbruk Steg 3: Gjennomfør nødvendige tiltak (eksempler fra POL/POF) Risikovurdering God sikkerhet Databehandleravtale Sikkerhetsrevisjon Oversikt ISMS (ISO/IEC 27001:2013) Improvement Context of the organization Leadership Planning Performance evaluation Support Operation 25
Hvem er vi
27 Børre Holmberg Borre.Holmberg@evry.com +47 901 78 156 Henning Hogness Henning.Hogness@evry.com +47 932 67 200
Takk for oppmerksomheten!